一、什么是日志关联?
日志关联是一种分析来自不同来源的日志数据以识别事件模式的技术。它用于更清晰地了解网络活动,从而有效地保护网络免受漏洞和威胁。
日志关联是日志管理流程的关键部分。在收集和存储日志后,集中式日志服务器会进行分析以检测特定事件。日志关联是一种关键的日志分析技术,可帮助管理员检测已知的攻击模式。
二、事件关联是如何实现的?
在日志分析过程中,事件关联用于将网络中不同设备或应用程序上看似离散的事件联系起来,并检查它们是否形成一种模式。
比如:用户远程登录到一台机器,此登录的相关信息,如 IP 地址和时间,可在 VPN 日志中获取。然后,该用户提升其权限,这会记录在域控制器日志中。凭借提升后的权限,用户尝试从关键文件服务器访问敏感文件,这会记录在文件服务器日志中。
安全管理员只有将上述所有离散事件关联起来,才能检测到未经授权访问文件的潜在威胁。日志管理工具可以有效地关联这些事件,并就潜在威胁向安全管理员发出警报。
事件关联
三、为什么需要日志关联?
企业需要日志关联有以下几个重要原因:
实时自动检测攻击:在无代理日志收集方式中,每个设备生成的日志无需代理即可收集。生成日志的设备或应用程序会直接将日志数据发送到中央服务器。传输过程将使用 TCP 和 HTTPS 等协议进行加密。
检测安全漏洞:执行日志关联的工具可以在操作和安全漏洞的初始阶段就检测到它们,使分析师能够在其造成重大损害之前进行修复。
进行有效的根本原因分析:日志关联工具可提供对违规事件的事件序列或事件时间线的可见性,有助于进行有效的根本原因分析。
优化安全运营:有效的日志关联工具可以优化安全运营中心(SOC)的关键绩效指标(KPI),例如平均检测时间(MTTD)、平均确认时间(MTTA)和平均响应时间(MTTR)。
满足合规要求:使用执行日志关联的工具可以帮助企业满足诸如 HIPAA、GDPR、PCI DSS 等合规要求。
四、事件关联方法
关联通常通过以下一种或多种方法完成:基于时间的关联、基于规则的关联、基于模式的关联、基于拓扑的关联等。
基于时间的关联:在这种方法中,我们检查事件发生之前或期间发生了什么,以识别违规事件的事件序列以及这些事件之间的关联方式。
基于规则的关联:基于规则的关联使用特定变量,如时间戳、交易类型和位置,来比较事件。组织必须为每个变量编写新规则,这对许多组织来说并不可行。
基于模式的关联:基于模式的关联结合了基于时间和基于规则的关联技术的优点,以检查事件之间的关系是否与预定义模式匹配。
基于拓扑的关联:这种方法将事件映射到受影响的网络或设备的拓扑结构。这使您能够在 IT 环境中轻松可视化事件。
五、高效进行事件关联的挑战
进行事件关联的最大挑战源于组织规模的不断扩大,以及它们每分钟产生的海量信息。跟上生成的事件数量并从中解析出可操作的信息已成为一项不可能完成的任务。关联工具帮助我们高效地执行这些任务并节省时间,使 IT 团队无需花费数小时进行检测即可解决问题。
六、EventLog Analyzer支持的事件日志管理规则
在当今复杂的网络环境中,威胁随时可能悄然降临,而优秀的日志关联软件堪称企业网络安全的得力卫士。EventLog Analyzer作为一款[综合日志管理工具],具备强大的功能且易操作性。它能够高效分析海量日志数据,有效发现潜在威胁,并在威胁引发严重灾难的早期阶段将其成功阻止。
内置了30多种预定义的关联规则,可以检查跨设备的攻击模式。
可以检测例如可以软件安装、蠕虫活动等攻击行为。
查看汇总的报表,这些报表以只管的时间轴格式记录并显示日志记录。
支持自定义关联规则,用于创建特定于您业务的攻击模式。
EventLog Analyzer日志管理规则
比如,某员工 A 晚上 10 点经 VPN 登录公司网络,VPN 日志记录相关信息。10 点 05 分,域控制器日志显示其权限提升。10 点 10 分,文件服务器日志表明员工 A 尝试访问敏感财务文件夹,首次因权限不足被拒。10 点 12 分,员工 A 再次访问成功并下载文件。EventLog Analyzer 实时收集这些日志,依据时间和预设安全规则,将系列事件关联,随即生成警报与报告,助管理员快速察觉风险,采取冻结账号等措施保障数据安全 。
综上所述:
优秀的日志关联软件可以帮助您有效地发现威胁,并在威胁引发灾难之前的早期阶段将其阻止。ManageEngine 的综合日志管理工具 EventLog Analyzer 可以执行实时事件日志关联、发送实时通知并管理事件以减轻网络攻击。
